AWS Identity and Access Management
ユーザーガイド

Amazon EC2: EC2 インスタンスがボリュームをアタッチまたはデタッチすることを許可する

この例では、次のようなポリシーを作成する方法を示します。 は、サービスロールにアタッチすることができます。ポリシーは、指定された EC2 インスタンスがボリュームをアタッチまたはデタッチすることを許可します。インスタンスは Condition 要素の ARN で指定します。このポリシーでは、AWS API または AWS CLI からのみ、このアクションを実行するために必要なアクセス権限を付与します。このポリシーを使用するには、ポリシー例の赤の斜体テキストを自分の情報に置き換えます。

Amazon EC2 インスタンスは、インスタンスプロファイルにアタッチされている EC2 インスタンスの AWS サービスロールによって付与されたアクセス許可で AWS コマンドを実行できます。このポリシーをロールにアタッチするか、このステートメントを既存のポリシーに追加することができます。INSTANCE-ID により特定されるインスタンスのみが、独自のものを含め、アカウントのインスタンスに対してボリュームをアタッチまたはデタッチできます。より大規模なポリシーに含まれる可能性のあるその他のステートメントの要素は、この 1 つのステートメントの制限によって影響を受けません。Amazon EC2 リソースへのアクセスをコントロールする IAM ポリシーの作成の詳細については、『Linux インスタンス用 Amazon EC2 ユーザーガイド』の「Amazon EC2 リソースへのアクセスのコントロール」を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": [ "arn:aws:ec2:*:*:volume/*", "arn:aws:ec2:*:*:instance/*" ], "Condition": { "ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"} } } ] }